Naruszenie obowiązku ochrony danych osobowych

Przepisy prawa pracy, a ściślej - Kodeksu pracy, jedynie w sposób cząstkowy regulują problematykę ochrony danych osobowych pracowników. Brak jest kompleksowej regulacji odnoszących się do tych kwestii, dlatego głównym aktem prawnym w tym zakresie pozostaje w dalszym ciągu ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.; zwana dalej uodo albo ustawą) oraz wydane na jej podstawie akty wykonawcze.

WAŻNE!

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tj. osoby, której tożsamość można określić bezpośrednio lub pośrednio, np. przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 uodo).

Podmiotem, który decyduje o celach i środkach przetwarzania danych osobowych, jest tzw. administrator danych.

W stosunkach pracowniczych administratorem danych będzie z reguły pracodawca (w spółce np. organ tej spółki), nigdy zaś pracownik.

Od administratora danych należy natomiast odróżnić administratora bezpieczeństwa informacji, czyli podmiot wyznaczony przez administratora danych do zarządzania w jego imieniu zbiorami danych osobowych oraz nadzorowania przestrzegania zasad ochrony tych danych.

Uprawnienie do przetwarzania danych

Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych.

Z przetwarzaniem danych wiążą się liczne obowiązki, w tym najważniejsze to:

• obowiązek uzyskania zgody na przetwarzanie danych osobowych od osoby, której dane dotyczą (przygotowując formularz danych, jakie chcemy uzyskać od potencjalnego albo naszego obecnego pracownika, pamiętajmy o zamieszczeniu stosownej klauzuli w tym przedmiocie. Obowiązek uzyskania zgody nie zawsze jest jednak wymagany. Może wynikać wprost z przepisów ustawy, jak ma to miejsce w przypadku przepisu art. 22¹ k.p., stanowiącego przepis szczególny w odniesieniu do regulacji ustawy. W tym wypadku od osoby, której dane dotyczą, nie wymaga się dodatkowego oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych. Przepis stanowi samodzielną podstawę do przetwarzania danych kandydatów do pracy. Już samo przesłanie dokumentów przez kandydata jest poczytywane jako zgoda na przetwarzanie dotyczących go danych na potrzeby niezbędne do celów rekrutacji);

• obowiązek informacyjny (np. o adresie i siedzibie spółki, celu zbierania danych, prawie dostępu do treści swoich danych i możliwości ich poprawiania);

• obowiązek szczególnej staranności przy przetwarzaniu danych (dane powinny być zbierane zgodnie z zasadą adekwatności, tj. nie mogą być przetwarzane poza zakres, jaki jest niezbędny do ich prawidłowego wykorzystania, przy czym zasadę tę wyłącza reguła z art. 22¹ k.p., oraz zasadą czasowości - dane przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie mogą być przetwarzane dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania, np. po ustaniu stosunku pracy dalsze przetwarzanie danych byłego pracownika jest wyłączone);

• obowiązek zgłoszenia zbioru danych do rejestracji (niestety przepis ten jest bardzo często naruszany). Z drugiej zaś strony istnieją liczne wyłączenia w tym zakresie, np. nie podlegają zgłoszeniu dane przetwarzane w związku z zatrudnieniem, zbiory CV kandydatów do pracy czy dane powszechnie dostępne);

• obowiązek zabezpieczenia danych, np. przed udostępnieniem ich osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, czy przetwarzaniem z naruszeniem ustawy.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie sporządzone i podpisane przez administratora danych. Ponieważ w praktyce będą to przede wszystkim pracownicy, upoważnienie powinno indywidualizować osobę, której zostało wydane, oraz szczegółowo określać zakres czynności, do których jest upoważniona taka osoba (np. tylko do odczytu danych).

Odpowiedzialność za naruszenie przepisów ustawy

Odpowiedzialność za naruszenie ustawy będzie wynikała przede wszystkim z nieprawidłowego wykonania ostatniego z omówionych wyżej obowiązków - obowiązku zabezpieczenia danych osobowych. Podmiot dopuszczający się uchybień w tym zakresie może więc ponieść odpowiedzialność karną, ale i administracyjną czy zwykłą pracowniczą.

Odpowiedzialność karną poniesie każdy, kto, administrując danymi, narusza obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Podlega wówczas grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

W przypadku odpowiedzialności administracyjnej, która może mieć miejsce w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych przez podmiot zainteresowany, i zgłoszenia tego faktu Generalnemu Inspektorowi Ochrony Danych Osobowych lub z urzędu - przez GIODO bezpośrednio, Generalny Inspektor, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

• usunięcie uchybień,

• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

• wstrzymanie przekazywania danych osobowych do państwa trzeciego,

• zabezpieczenie danych lub przekazanie ich innym podmiotom,

• usunięcie danych osobowych.

Przepisy innych ustaw mogą przewidywać podjęcie także dodatkowych czynności niż wymienione wyżej i wówczas będą one miały pierwszeństwo przed tymi wskazanymi.

Odpowiedzialność pracownicza będzie miała natomiast miejsce w sytuacji, gdy w wyniku kontroli inspektor ustali, że dopuszczono się uchybień w zakresie zabezpieczenia danych. Może wówczas zwrócić się do administratora danych z wnioskiem wszczęcia przeciwko osobie winnej naruszeń postępowania dyscyplinarnego lub innego przewidzianego prawem, a następnie poinformowania go we wskazanym terminie o wynikach tego postępowania i podjętych działaniach. Pracodawca nie jest jednak związany wnioskiem inspektora, a inspektor nie dysponuje samodzielnymi narzędziami do ukarania sprawcy naruszeń.

Jakub Kaniewski

aplikant adwokacki